Google reveló el martes que varios actores de amenazas, incluidos adversarios de estados nacionales y grupos con motivaciones financieras, están explotando una falla de seguridad crítica ahora reparada en RARLAB WinRAR para establecer el acceso inicial y desplegar una amplia gama de cargas útiles.

«Descubiertos y corregidos en julio de 2025, los actores de amenazas respaldados por el gobierno vinculados a Rusia y China, así como los actores de amenazas con motivaciones financieras, siguen explotando este día n en operaciones dispares», dijo el Grupo de Inteligencia de Amenazas de Google (GTIG) dijo .

«El método de explotación uniforme, una falla que permite que los archivos se coloquen en la carpeta de inicio de Windows para que persistan, subraya una brecha defensiva en la seguridad fundamental de las aplicaciones y en la conciencia de los usuarios».

La vulnerabilidad en cuestión es CVE-2025-8088 (puntuación CVSS: 8.8), que fue parcheado por la versión 7.13 de WinRAR publicada el 30 de julio de 2025. La explotación satisfactoria de la falla podría permitir a un atacante obtener la ejecución arbitraria de código mediante la creación de archivos maliciosos que abriera una versión vulnerable del programa.

ESET, que descubrió y denunció el defecto de seguridad, dijo haber observado que el grupo de amenazas con doble motivación financiera y de espionaje conocido como RomCom (también conocido como CIGAR o UNC4895) explotó la falla como un día cero ya el 18 de julio de 2025 para lanzar una variante del malware SnipBot (también conocido como NESTPACKER). Vale la pena señalar que Google está rastreando el grupo de amenazas detrás del despliegue de Cuba Ransomware con el nombre UNC2596.

Desde entonces, la vulnerabilidad ha sido objeto de una explotación generalizada, y las cadenas de ataque suelen ocultar el archivo malicioso, como un acceso directo de Windows (LNK), dentro de los flujos de datos alternativos ( ANUNCIOS ) de un archivo señuelo dentro del archivo, lo que hace que la carga útil se extraiga a una ruta específica (por ejemplo, la carpeta de inicio de Windows) y se ejecute automáticamente una vez que el usuario inicie sesión en la máquina tras un reinicio.

Algunos de los otros actores de amenazas rusos que se han sumado al tren de la explotación se enumeran a continuación -

  • Gusano de arena (también conocido como APT44 y FROZENBARENTS), que ha aprovechado la falla para eliminar un archivo señuelo con un nombre de archivo ucraniano y un archivo LNK malintencionado que intenta realizar más descargas
  • Gamaredón (también conocido como CARPATHIAN), que ha aprovechado la falla para atacar a las agencias gubernamentales ucranianas con archivos RAR maliciosos que contienen archivos de aplicaciones HTML (HTA) que actúan como descargadores para una segunda etapa
  • Turla (también conocida como SUMMIT), que ha aprovechado la falla para ofrecer la suite de malware STOCKSTAY utilizando señuelos centrados en las actividades militares y las operaciones con drones de Ucrania

GTIG dijo que también identificó a un actor con sede en China que utilizó el CVE-2025-8088 como arma para entregarlo Hiedra venenosa mediante un script por lotes que se coloca en la carpeta de inicio de Windows y, a continuación, se configura para descargar un cuentagotas.

«Los actores de amenazas con motivaciones financieras también adoptaron rápidamente la vulnerabilidad para utilizar RAT de productos básicos y ladrones de información contra objetivos comerciales», añadió. Algunos de estos ataques han llevado al despliegue de puertas traseras de Telegram controladas por bots y de familias de malware como Asyncrat y XWorm.

En otro caso destacado por el equipo de inteligencia de amenazas de Google, un grupo de ciberdelincuencia conocido por atacar a usuarios brasileños a través de sitios web bancarios habría lanzado una extensión maliciosa para Chrome que es capaz de inyectar JavaScript en las páginas de dos sitios bancarios brasileños para publicar contenido de suplantación de identidad y robar credenciales.

Se estima que la amplia explotación de la falla fue el resultado de una próspera economía clandestina, en la que los exploits de WinRAR se han publicitado por miles de dólares. Uno de esos proveedores, «zeroplayer», comercializó un exploit de WinRAR casi al mismo tiempo, en las semanas previas a la divulgación pública del CVE-2025-8088.

«La actividad continua de Zeroplayer como proveedor principal de exploits pone de relieve la continua mercantilización del ciclo de vida de los ataques», afirma GTIG. «Al proporcionar capacidades listas para usar, actores como zeroplayer reducen la complejidad técnica y la demanda de recursos de los actores de amenazas, lo que permite a los grupos con motivaciones diversas [...] aprovechar un conjunto diverso de capacidades».

El desarrollo se presenta como otra vulnerabilidad de WinRAR ( CVE-2025-6218 , puntuación CVSS: 7,8) también ha sido testigo de los esfuerzos de explotación por parte de múltiples actores de amenazas, incluidos GOFFEE, Bitter y Gamaredon, lo que subraya la amenaza que representan las vulnerabilidades de los días N.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.